駭客基礎架構與地下主機代管初探
網路犯罪地下平台是一個相當成熟的網路犯罪商品與服務交易生態系,本文探討這些非法活動如何藉由一個強大的主機代管基礎架構而蓬勃發展。
網路犯罪地下市場所提供的主機代管基礎架構,是整個網路犯罪商業模式的運作基礎,為犯罪集團提供了各種好處:藉由匿名化服務讓犯罪活動維持隱密性、架設幕後操縱 (C&C) 伺服器操控受害電腦、架設地下論壇讓駭客之間彼此交流。網路犯罪市場的賣家提供了各類服務和基礎架構來讓其他歹徒執行攻擊行動。地下主機代管服務 (也就是地下基礎架構) 可讓歹徒架設網路犯罪元件來執行各種惡意活動,不用擔心遭到破獲或逮捕,因為這些行動需要服務業者的配合才能執行。
地下主機代管服務包括:代管主機、網域名稱、快速變換 (fast-flux) 基礎架構、流量加速器、虛擬與專屬伺服器,以及虛擬私人網路 (VPN)。此外,主機代管基礎架構也用來散發網路釣魚郵件,或是在線上商店交易非法商品,以及架設虛擬私人系統 (VPS) 來發動網路攻擊。
在這份地下主機代管研究系列的第一篇,我們將探討地下市場上所提供給駭客們的商品和服務,以及這些非法的賣家如何與買家進行交易。
網路犯罪基礎架構:地下市場上所提供的服務
- 專屬主機與虛擬主機代管供應商:防彈主機、fast-flux 網路、其他主機代管服務等等。
- 服務確保與匿名化供應商:匿名化服務、流量加速服務、代理器 (proxy)、反向代理器 (reverse proxy)、虛擬私人網路 (VPN) 等等。
- 其他基礎架構供應:一些較少人用到的基礎架構,如:瀏覽器內殭屍網路服務、IoT 主機代管服務、電信相關服務 (如撥打電話、發話定位、散發垃圾簡訊)。
- 已遭駭入而可用於惡意活動的合法服務/系統:各種免費的服務,如:雲端服務、動態 DNS、SSL 憑證配發。
為何主機代管對犯罪集團與地下市場很重要?
主機代管服務可讓使用者克服網際網路的限制、維持匿名性,讓鑑識分析工作變得困難。以下是一些歹徒經常使用主機代管服務的額外原因:
- 歹徒可用來整合惡意元件。
- 犯罪集團可用來輔助其通訊系統。
- 殭屍網路可用來架設 C&C 基礎架構。
- 垃圾郵件集團可用來建立垃圾郵件散發系統。
- 地下論壇可用來架設通訊平台。
地下市場有哪些主機代管服務
地下市場上充斥著各式各樣專門服務犯罪集團及駭客的服務,從防彈主機、代理器到 VPS 與 VPN 應有盡有。有趣的是,這類服務也經常出現在一些網路賭博、網路行銷、搜尋引擎最佳化 (SEO) 等相關的論壇上,因為這類服務可用來製造點按次數,影響搜尋引擎的排序。
此外我們發現,上述服務也會在 VK、Telegram 和 WhatsApp 這類即時通訊軟體的聊天群組刊登廣告。我們經由賣家所提供的連絡資訊發現,地下論壇上的廣告與社群媒體上的廣告有所關連,這一點與一般人覺得歹徒只會在地下市場販賣非法商品的認知有所出入,歹徒其實也會在表層網路上經營市集。
以上就是網路犯罪地下市場目前的現況:朝氣蓬勃且充滿著各式各樣的產品與各種不同熟練度的網路駭客。經過了不斷的演化,地下市場現在已經發展出自類似合法企業的商業結構。賣家擁有相當精密的商業模式與金流機制,可接受各種付款方式,如:PayPal、Mastercard、Visa 及虛擬加密貨幣。
地下市場上的產品豐富而多樣,除了各種偷來的信用卡資料與盜卡裝置之外,某些專門的商店還提供了多樣化的駭客服務,包括:專屬伺服器、SOCKS 代理器、VPN 以及分散式阻斷服務 (DDoS) 防護。
地下論壇上主機代管與 VPN 相關的區域
地下論壇上的貼文主題琳瑯滿目,多達數十或數百種以上。例如某個論壇就有高達 10,000 個主題,光代理器和 VPN 相關的貼文就有 25,000 則。此外,地下論壇上也有很多與執法行動相關的討論串。
一則有關專屬伺服器買賣自動化平台的廣告
全球各地提供遠端桌面 (RDP) 存取的專屬伺服器也常出現在廣告中。美國地區的主機大約從3美元起跳,但貴一點的要 6 美元起跳,含未來 12 小時可用性擔保,某些賣家甚至提供大量採購折扣。
一個專門經營專屬伺服器的商店販售中的伺服器組態與價格
其商品甚至會按存取類型、國家/地區、硬體規格、網路功能等等來分門別類。
針對網路犯罪基礎架構買家的服務
我們也在地下論壇上發現了一些合法主機代管服務的經銷商。這些主機代管服務供應商擁有合法的客戶,並且也在網際網路上刊登廣告。但其某些經銷商卻將業務觸角延伸至地下市場,其原廠或許知情、也或許不知情。但這樣的現象其實不太令人意外,因為就算是網路犯罪集團也會希望採用一些優質的服務。
我們在地下市場上發現了一些駭客分享的主機代管服務推薦連結,他們甚至可藉此賺取推薦費。通常,犯罪集團所在意 (同時也是廣告所主打的) 是這些服務的匿名性以及處理服務濫用檢舉的作法 (也就是置之不理)。
防彈主機服務供應商的廣告
有別於正常的主機,號稱提供防彈主機服務的廠商,通常都被歹徒用來從事非法活動,例如:架設惡意程式儲存庫、網路釣魚網站、色情網站,或是掃描漏洞、散發垃圾郵件等等。這些供應商通常對於服務濫用檢舉都置之不理,也就是默許網路犯罪集團在他們的伺服器上活動。這樣的作法會使得某些網路犯罪法律寬鬆的國家在執法時變得更加困難,同時也阻礙司法調查。
一個專門經營專屬伺服器的商店販售中的伺服器組態與價格
其商品甚至會按存取類型、國家/地區、硬體規格、網路功能等等來分門別類。
社群媒體平台被網路犯罪買家與賣家所利用
如同任何販售商品與服務給潛在買家的企業一樣,非法賣家也會刊登廣告,他們會利用各種平台來推銷他們的產品和服務:聊天平台、駭客論壇以及社群媒體貼文。
例如,我們就發現某個主機代管服務在社群媒體 VK 上刊登廣告。在地下市場刊登暴力登入攻擊以及利用 Masscan、Nmap 和 ZMap 對網際網路進行大規模掃描的廣告,其實是稀鬆平常的事。
某個張貼已駭入資產來宣傳其服務的 Telegram 頻道
Telegram 目前已成為地下論壇廣告經常使用的一種連絡方式,有時甚至還直接被當成廣告平台。此外,歹徒還會利用專屬的聊天室與機器人來販售其伺服器和其他已遭駭入的資產,例如提供 RDP 與 VPN 的伺服器。
Twitter 上使用英文主題標籤 (hashtag) 的防彈主機廣告
在 Twitter 上使用者甚至可以用一些像「#VPS」或「#bulletproof」這類的主題標籤 (或是其他語言的對應文字) 來搜尋防彈主機的廣告。
熟悉地下市場的生態,對企業、資安產業及執法單位遏止與降低網路犯罪有很大幫助。如需更詳細內容,請參閱我們的完整報告「駭客基礎架構與地下主機代管:網路犯罪市場簡介」(The Hacker Infrastructure and Underground Hosting: An Overview of the Cybercriminal Market),內容詳述了地下經濟與網路犯罪基礎架構的運作基礎。
本系列研究的第二篇將繼續探討網路犯罪集團如何取得並運用犯罪基礎架構元件,例如已遭駭入的資產與專屬的主機代管伺服器。
原文出處:HACKER INFRASTRUCTURE AND UNDERGROUND HOSTING 101 作者:Trend Micro Research ( Vladimir Kropotov、Robert McArdle 與 Fyodor Yarochkin)